Sanksjoner i AI-forordningen: opptil 35 millioner euro i bot

Sanksjonene i AI-forordningen kan nå 35 mill. euro eller 7 % av global omsetning. Detaljert oversikt over bøter etter bruddtype og sammenligning med GDPR.

Et sanksjonsregime uten sidestykke

Den europeiske forordningen om kunstig intelligens (forordning 2024/1689) innfører et av de strengeste sanksjonssystemene i europeisk digital rett. Med bøter på opptil 35 millioner euro eller 7 % av den globale omsetningen sender AI-forordningen et tydelig signal: manglende etterlevelse innen AI er ikke en abstrakt risiko, det er en betydelig finansiell risiko.

Artikkel 99 — Règlement (UE) 2024/1689
Medlemsstatene fastsetter reglene for sanksjoner og andre håndhevingstiltak, som også kan omfatte advarsler og ikke-økonomiske tiltak, som gjelder for operatørenes overtredelser av denne forordningen, og treffer alle nødvendige tiltak for å sikre at de gjennomføres korrekt og effektivt […].

De tre botnivåene

Artikkel 99 i forordningen definerer tre sanksjonsnivåer etter overtredelsens alvor.

Nivå 1 — Forbudte praksiser: 35 mill. euro eller 7 % av global omsetning

Det høyeste sanksjonsnivået gjelder for overtredelser av artikkel 5 (forbudte praksiser):

Sosial scoring
Subliminal manipulasjon eller villedende teknikker
Utnyttelse av personers sårbarheter
Biometrisk identifisering i sanntid på offentlige steder (med unntak)
Følelsesgjenkjenning på arbeidsplasser og i utdanning
Oppbygging av ansiktsgjenkjenningsdatabaser via scraping

Boten kan nå 35 millioner euro eller 7 % av bedriftens årlige globale omsetning, det høyeste beløpet gjelder.

For en bedrift med en omsetning på 500 millioner euro representerer det potensielt 35 millioner euro i bot. For et globalt konsern med 10 milliarder euro i omsetning kan den teoretiske boten nå 700 millioner euro.

Nivå 2 — Manglende etterlevelse for høyrisikosystemer: 15 mill. euro eller 3 % av global omsetning

Det andre nivået sanksjonerer overtredelser av forpliktelser knyttet til høyrisiko-AI-systemer og generelle AI-modeller:

Manglende etterlevelse av risikostyringskrav (artikkel 9)
Mangelfull datastyring (artikkel 10)
Fravær av teknisk dokumentasjon (artikkel 11)
Manglende transparens overfor brukere (artikkel 13)
Utilstrekkelig menneskelig kontroll (artikkel 14)
Manglende etterlevelse for generelle AI-modeller (artiklene 51 til 56)
Manglende etterlevelse av kravet om AI-kompetanse (artikkel 4)

Det siste punktet er avgjørende: manglende opplæring av ansatte i AI tilhører dette nivået. En bedrift som ikke har truffet noen tiltak for å sikre et tilstrekkelig AI-kompetansenivå for sitt personale, risikerer bøter på opptil 15 millioner euro eller 3 % av den globale omsetningen.

Nivå 3 — Uriktige opplysninger: 7,5 mill. euro eller 1,5 % av global omsetning

Det tredje nivået gjelder når en bedrift gir unøyaktige, ufullstendige eller villedende opplysninger til kompetente myndigheter eller utpekte organer:

Falske samsvarserklæringer
Forfalskede eller ufullstendige tekniske dokumenter
Unøyaktige svar på informasjonsforespørsler fra myndigheter
Tilbakeholdelse av hendelser eller feilfunksjoner

Boten kan nå 7,5 millioner euro eller 1,5 % av den årlige globale omsetningen.

For å måle alvoret i AI-forordningens regime er sammenligningen med GDPR belysende:

Kriterium	GDPR	AI-forordningen
Maksimal bot (fast beløp)	20 mill. euro	35 mill. euro
Maksimal bot (% av omsetning)	4 % av global omsetning	7 % av global omsetning
Antall nivåer	2	3
Gjeldende siden	Mai 2018	Gradvis (2025–2027)
Tilsynsmyndighet	Personvernmyndigheter	Nasjonale myndigheter + EUs AI-kontor

EU-lovgiver har bevisst satt AI-forordningens sanksjoner over GDPRs. Budskapet er klart: risikoene ved ukontrollert AI anses som minst like alvorlige som risikoene ved personvern — og bedrifter vil bli sanksjonert tilsvarende.

Til orientering har GDPR-sanksjonene ikke forblitt rent teoretiske. I 2023 mottok Meta en bot på 1,2 milliarder euro fra den irske myndigheten. Amazon hadde fått 746 millioner euro i bot i 2021 i Luxembourg. I Norge har Datatilsynet allerede ilagt betydelige bøter under GDPR/personopplysningsloven. De europeiske myndighetene har bevist at de ikke nøler med å anvende maksimale sanksjoner overfor store selskaper.

Særordninger for SMBer

Forordningen foreskriver en tilpasset behandling av små bedrifter. Artikkel 99(6) presiserer at bøtene skal være “effektive, proporsjonale og avskrekkende”. For SMBer og oppstartsbedrifter må myndighetene ta hensyn til bedriftens økonomiske levedyktighet.

Konkret:

Prosentandelene av omsetningen gjelder på samme måte, men de faste beløpene (35 mill., 15 mill., 7,5 mill. euro) utgjør et absolutt tak
Myndighetene må ta hensyn til bedriftens størrelse, overtredelsens alvor, om den er forsettlig eller ikke, og tiltakene som er truffet for å begrense skaden
Regulatoriske sandkasser (artikkel 57) tilbyr en ramme der SMBer kan teste AI-systemene sine under reelle forhold med myndighetsveiledning

Hvem kontrollerer og sanksjonerer?

Nasjonale kompetente myndigheter

Hver medlemsstat må utpeke én eller flere nasjonale kompetente myndigheter med ansvar for markedsovervåking og håndheving av forordningen. I Norge kan dette ansvaret fordeles mellom flere aktører:

Datatilsynet — allerede kompetent innen personvern med en naturlig ekspertise i AI-systemer som behandler personopplysninger
Digitaliseringsdirektoratet eller en ny dedikert myndighet — for aspekter knyttet til AI-modeller og infrastruktur
Eksisterende sektormyndigheter (Finanstilsynet for finans, Helsedirektoratet for helse) — for høyrisiko-AI-systemer innen sine respektive områder

Det europeiske AI-kontoret (AI Office)

Opprettet innen Europa-kommisjonen spiller Det europeiske AI-kontoret en koordinerende rolle og har direkte kompetanse over generelle AI-modeller. Det kan:

Evaluere samsvaret til generelle AI-modeller
Be tilbydere om korrigerende tiltak
Pålegge bøter for overtredelser knyttet til generelle modeller

📄AI Act artikkel 4: plikten til AI-opplæring forklart→

Betydningen av å kunne bevise etterlevelse

Utover bøtene bygger AI-forordningens mekanisme på et grunnleggende prinsipp: bevisbyrden påligger bedriften. Det er ikke myndighetens oppgave å bevise at dere ikke er i samsvar — det er deres oppgave å bevise at dere er det.

Hva “å bevise etterlevelse” konkret betyr

Teknisk dokumentasjon: for hvert høyrisiko-AI-system, et komplett dossier som beskriver systemet, dets formål, ytelse, begrensninger og treningsdataene som er brukt
Samsvarsregistre: historikk over samsvarsvurderinger, interne revisjoner og oppdateringer
Brukslogger: automatiserte loggfiler som sporer beslutninger tatt av AI-systemer (minimum seks måneders lagring)
Opplæringsdokumentasjon: attester, evalueringsresultater, deltakelsesrater — som dokumenterer at personalet oppnår kompetansenivået artikkel 4 krever
Rapporteringsprosedyrer: dokumenterte mekanismer som gjør det mulig for brukere å rapportere feilfunksjoner eller problematiske resultater

En målbar og sporbar kompetansescore for hver ansatt utgjør et særlig solid bevis for artikkel 4. Likeledes gjør en komplett opplæringshistorikk med datoer, innhold og resultater det mulig å bevise etterlevelse på en objektiv måte.

Skjerpende omstendighet: fravær av tiltak

Ved kontroll er den mest ugunstige situasjonen ikke å ha et ufullstendig complianceprogram — det er å ikke ha et i det hele tatt. Myndighetene vil ta hensyn til innsatsen bedriften har gjort. Å ha iverksatt en strukturert tilnærming, selv ufullstendig, er alltid å foretrekke fremfor total passivitet.

📄AI-revisjon i bedriften: praktisk trinn-for-trinn-guide→

Risikokalenderen

Sanksjonene trer i kraft gradvis i samsvar med de ulike forpliktelsenes ikrafttreden:

Dato	Gjeldende forpliktelser	Anvendelige sanksjoner
1. februar 2025	Forbudte praksiser (artikkel 5)	Opptil 35 mill. euro / 7 %
2. august 2025	AI-kompetanse (artikkel 4) + Generelle modeller	Opptil 15 mill. euro / 3 %
2. august 2026	Høyrisiko-AI-systemer	Opptil 15 mill. euro / 3 %
2. august 2027	Høyrisikosystemer integrert i regulerte produkter	Opptil 15 mill. euro / 3 %

De to første fristene er allerede overskredet. Bedrifter som ennå ikke har truffet tiltak vedrørende forbudte praksiser og AI-kompetanse, befinner seg allerede i risikosonen.

Utover bøtene: de indirekte risikoene

De økonomiske sanksjonene er bare den synlige delen. Manglende etterlevelse av AI-forordningen eksponerer for andre like vesentlige risikoer:

Omdømmerisiko: å bli offentlig identifisert som ikke i samsvar med AI-regulering sender et katastrofalt signal til kunder, partnere og investorer
Kommersiell risiko: bedrifter i samsvar vil kreve at leverandørene og partnerne deres også er det — en kaskadeeffekt sammenlignbar med GDPRs
Operasjonell risiko: myndighetene kan pålegge tilbaketrekking fra markedet av et AI-system som ikke er i samsvar, eller forby bruken — noe som potensielt kan lamme kritiske forretningsprosesser
Tvistesøksmålsrisiko: personer som er berørt av et AI-system som ikke er i samsvar, kan anlegge søksmål med tilhørende juridiske kostnader og erstatningskrav

Ce que ça implique pour vous

AI-forordningen innfører de strengeste sanksjonene i europeisk digital rett: 35 millioner euro eller 7 % av den globale omsetningen for forbudte praksiser, 15 millioner for høyrisikosystemer og manglende opplæring. Nøkkelen til å minimere risikoen: bevis etterlevelsen med grundig dokumentasjon, sporede opplæringer og målbare evalueringer. De første fristene er allerede overskredet — hver dag uten handling øker eksponeringen.